СТ РК ИСО/МЭК 27001-2008
(ИСО/МЭК 27001:2005 «Информационная технология.
Методы и средства обеспечения безопасности. Системы управления
информационной безопасностью. Требования», IDТ)
Методы и средства обеспечения безопасности
системы управления информационной безопасностью
Требования
Отменен с 1 января 2017 г. в соответствии с приказом Председателя Комитета технического регулирования и метрологии Министерство по инвестициям и развитию РК от 24.11.2015 г. № 236-од (ИУС № 1-2016 г.)
Взамен введен с 1 января 2017 года СТ РК ISO/IEC 27001-2015
Содержание
Введение
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Система управления информационной безопасностью
5 Распределение обязанностей персонала
6 Внутренние аудиты СУИБ
7 Пересмотр СУИБ руководством
8 Совершенствование СУИБ
Приложение А. Цели управления и средства управления
Приложение Б. Принципы OECD и настоящий стандарт
Приложение В. Соответствие между стандартами СТ РК ИСО 9001-2001, СТ РК ГОСТ Р ИСО 14001-2000 и настоящим стандартом
Приложение. Библиография
Введение
Настоящий стандарт подготовлен для использования в качестве модели для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и модернизации системы управления информационной безопасностью (СУИБ). Принятие СУИБ должно являться для организации стратегическим решением. На архитектуру и реализацию СУИБ организации влияют цели и потребности бизнеса, требования к безопасности, используемые процедуры, а также размер и структура самой организации. Предполагается, что со временем перечисленные характеристики и поддерживающие их системы изменяются. Предполагается, что реализация СУИБ будет масштабироваться в соответствии с потребностями организации.
Настоящий стандарт может использоваться для оценки соответствия заинтересованными внутренними и внешними сторонами.
В настоящем стандарте принят процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ организации.
Чтобы функционировать эффективно, организация должна идентифицировать и управлять различными действиями. Любое действие, использующее ресурсы и управляемое с целью преобразования входных данных в выходные, может рассматриваться как процесс. Часто выходные данные одного процесса непосредственно представляют входные данные для следующего процесса.
Применение системы процессов в организации, вместе с идентификацией и взаимодействием этих процессов, а также управлением этими процессами может быть названо «процессным подходом».
Процессный подход к управлению информационной безопасностью, представленный в настоящем стандарте, побуждает своих пользователей придавать особое значение следующему:
а) пониманию требований информационной безопасности организации и необходимости определить политику и цели информационной безопасности;
